Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2015-Information Security in Implementing Web Applications For Small Businesses Based On COBIT5-SI
2015-Information Security in Implementing Web Applications For Small Businesses Based On COBIT5-SI
discussions, stats, and author profiles for this publication at: http://www.researchgate.net/publication/282329850
READS
18
3 AUTHORS, INCLUDING:
Danilo Rubn Jaramillo
Universidad Tcnica Particular de Loja
10 PUBLICATIONS 1 CITATION
SEE PROFILE
Seguridad de la Informacin en la
implementacin de aplicaciones web para
pequeas empresas en base a COBIT5-SI
Information Security in implementing web applications
for small businesses based on COBIT5-SI
Danilo Jaramillo H, Franco Guamn B, Kruskaya Salazar E
Departamento de Ciencias de la Computacin y Electrnica
Loja-Ecuador
{djaramillo, foguaman, kssalazar}@utpl.edu.ec
Universidad Tcnica Particular de Loja
Resumo La Seguridad de la Informacin es una de las medidas
preventivas a tomar en consideracin para el adecuado
funcionamiento de aplicaciones en pequeas y medianas
empresas de Ecuador, garantizando de esta forma
la
confiabilidad, disponibilidad e integridad de los activos,
principalmente dentro de sus aplicaciones web. Este trabajo se
fundamenta en la integracin del marco de gobierno para la
seguridad Cobit5-SI, la metodologa de modelado UWE y el
proyecto abierto de seguridad OWASP, obteniendo las prcticas
adecuadas que permitan valorar la Seguridad de la Informacin
en la implementacin de aplicaciones web para estas empresas.
De igual manera la seleccin de estas prcticas se realiz con la
integracin de las normas ISF, ISO/IEC 27001, ISO/IEC 27002,
ITIL y NIST.
Palabras Clave seguridad de la informacin, cobit5,
prcticas,activos, aplicaciones web.
Abstract The Information Security is one of the preventive
measures to take account for the proper functioning of
applications in small and medium enterprises in Ecuador, thus
ensuring reliability, availability and integrity of assets, primarily
within their web applications measures. This work is based on
the integration of the governance framework for Cobit5-SI
safety, UWE modeling methodology and open security OWASP
project, obtaining the best practices for evaluating the
Information Security in implementing web applications these
companies. Similarly, the selection of these practices was
conducted with the integration of the ISF, ISO / IEC 27001, ISO /
IEC 27002, ITIL and NIST.
Keywords -Information security; cobit5; web applications.
I.
INTRODUCCIN
MARCO TERICO
80%
60%
40%
20%
0%
Pequea
Mediana
Componentes de SI
Cobit5-SI
Seguridad del personal
Tecnologa
Factores Humanos
Procesos
Conformidad
Gobernanza de seguridad
Riesgos de seguridad
Gestin de incidentes
Organizacin
Cultura
Cumplimiento
Confianza
Disponibilidad
Integridad
Confiabilidad
Arquitectura de sistemas
Plan de SI
Control de acceso
Continuidad del negocio,
respuesta incidentes
Proteccin de datos
Poltica de seguridad
NIST
IT
IL
X
X
X
ISO
27001
X
X
X
X
ISO
27002
X
X
ISF
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2) Catalizador de la informacin
Considera toda la informacin relevante para la empresa, y
no solamente como la informacin automatizada. La
informacin puede ser estructurada o no estructurada,
formalizada o informal.
El ciclo de la informacin ayuda a entender el proceso que
se lleva a cabo para obtener la informacin, generar datos
importantes y, transformarlos en conocimiento y crear valor
para la empresa.
SI es un catalizador de negocios que est estrictamente
ligado a la confianza de los interesados, como se menciona en
ISACA [5], ya sea por el tratamiento del riesgo de negocios o
por creacin para dar valor a la empresa, como una ventaja
competitiva.
3) Catalizador
de Servicios, infraestructura y
aplicaciones
Debido a que la SI ser asegurada dentro de entornos web,
este catalizador proporciona prcticas de definicin de
arquitectura, control de calidad y accesibilidad. En momentos
en que la importancia de las TI y afines es cada vez mayor en
todos los aspectos del negocios y la vida pblica, surge la
necesidad de mitigar el riesgo de la informacin, lo que incluye
la proteccin de la informacin y de los activos de TI
relacionados con las amenazas que se encuentra en constante
cambio e incremento
B. UWE
El enfoque de la Ingeniera Web basada en UML (UWE)
est en continua evolucin. Segn investigaciones realizadas
por Mnguez [22], esta evolucin se ha dado debido a la mejora
de las caractersticas existentes, tales como: personalizacin de
sistemas Web, adaptacin a las nuevas tecnologas, la
comunicacin cliente- servidor y la introduccin de nuevas
tcnicas de ingeniera de software como el aspecto de
orientacin y principios basados en modelos. El reto en todos
estos casos es proporcionar una herramienta ms intuitiva y til
para el desarrollo metodolgico de los sistemas Web, para
aumentar la calidad de los sistemas Web y para reducir el
tiempo de desarrollo, as como asegurar la SI proporcionada
para el desarrollo de cada uno de los modelos. Estos modelos
de la metodologa UWE [23] estn relacionados entre s, a
continuacin se detallan cada uno de ellos.
1) Anlisis de Requerimientos: Koch & Kozuruba [24]
hace referencia a la importancia de contar con una obtencin,
especificacin y validacin de requisitos como uno de los
primeros pasos para el desarrollo de un sistema WEB.
2) Modelo Contenido: Se utiliza para representar los
conceptos relevantes del dominio y sus relaciones. Cuando los
modeladores conocen el concepto principal de la aplicacin en
el futuro, por lo general comienzan con el modelo de
contenido para capturar las clases usando UML.
3) Modelo de estructura de navegacin: Este modelo
especfica la iteracin del usuario con la aplicacin; en este
modelo se realiza la navegacin de los nodos y enlaces,
modelando el anlisis de requerimientos y el modelo de
contenido ya antes especificado.
Modelo
Navegacin
Modelo de
Presentacin
Modelo de
procesos
ENTREGABLE
Casos de Uso
Diagramas de casos de
uso
Diagramas de Clases
Diagramas de Secuencia
Diagrama de Clases
Diagrama de
Secuencia
Diagrama de Estado
Diagrama de
Despliegue
Diagrama de
Implementacin
Diagrama de
Navegacin
Diagrama de
Presentacin
Diagrama de
Actividad
Diagramas de Estados
Diagramas de
Despliegue
Diagramas de
Implementacin
Diagramas de
Navegacin
Diagramas de
Presentacin
Diagramas de
Actividades
V.
100%
RESULTADOS
80%
60%
40%
20%
X
X
0%
F1P
X
60%
40%
20%
0%
Actividades Fase 1
X
X
F1AC13
X
X
80%
F1AC12
X
X
X
X
F1AC11
X
X
X
X
X
X
F1AC9
X
X
X
F1AC10
X
X
X
F1AC8
F5S
F1AC7
F4E
F1AC6
F3V
F1AC5
X
X
F2C
F1AC4
Cumplimiento de SI en PYMES
F1AC3
F4E
X
X
X
X
X
X
X
X
X
F1AC2
F3V
N
U
M
W
G
E
S
O
W
A
S
P
X
X
F1AC1
F2C
VI.
ACTIVIDADES
F1P
F5S
% de cumplimiento
TABLE IV.
60%
40%
20%
0%
F3AC1 F3AC2 F3AC3 F3AC4 F3AC5
Actividades Fase 3
Figure 4. Analisis de cumplimiento de actividades la F3V
80%
60%
40%
20%
0%
VII. CONCLUSIONES
El Marco de trabajo COBIT5 para la seguridad de la
informacin, permite orientar el mayor nmero de controles
hacia la implementacin de polticas y normas de
aseguramiento de la informacin, desde la fase de desarrollo
hasta la implementacin y administracin de aplicaciones web
en pequeas empresas.
Para integrar las actividades descritas en cada fase de
desarrollo es necesario el estudio de varias normas que
enfoquen sus investigaciones al desarrollo de buenas prcticas
para la seguridad de la informacin, de las cuales se tomaron
las ms relevantes y se adapt al desarrollo de esta
investigacin.
Las actividades descritas, permiten compulsar las
actividades realizadas con el uso e integracin de normas
propuestas, adems de dar orientaciones necesarias referentes a